Fauxpersky: un nou program malware lansat în 2018

Digitalizarea ne-a îmbunătățit considerabil standardul de viață, făcând lucrurile mai ușoare, mai rapide și de încredere. Dar apoi menținerea tuturor înregistrărilor pe computer și procesarea prin internet este ca o monedă cu două fețe diferite. Cu nenumărate beneficii, există câteva dezavantaje notabile, în special Hackerii și instrumentele lor cunoscute ca malware. Cea mai nouă adăugare la această mare familie de programe malware este Fauxpersky. Deși rimează cu celebrul antivirus rusesc „Kaspersky”, dar acolo se diverge drumurile lor.. Fauxpersky se deghizează în Kaspersky și este conceput pentru a fura informațiile utilizatorului și a le trimite hackerilor prin internet. Se răspândește prin intermediul unităților USB, infectând computerul utilizatorului, captând toate apăsările de taste ca un keylogger și în cele din urmă trimițând-o către căsuța poștală a atacatorului prin GoogleForme. Logica din spatele numelui acestui malware este simplă. Orice lucru făcut în imitație ar fi cunoscut sub numele de Faux, prin urmare imitarea lui Kaspersky ar fi Faux – Kaspersky sau Fauxpersky.

Pentru a înțelege procesul de execuție al acestui malware, să verificăm mai întâi diferitele sale componente:

Key Logger

Google definește un program de calculator care înregistrează fiecare apăsare a tastei făcută de un utilizator de computer, în special pentru a obține acces fraudulos la parole și alte informații confidențiale. Cu toate acestea, atunci când a fost conceput inițial, Keylogger a servit unui scop părinților care puteau monitoriza activitatea online a copiilor lor și organizațiilor în care angajatorii puteau stabili dacă angajații lucrau la sarcinile dorite care le-au fost atribuite.

Citeste si:-

Cum să vă protejați împotriva aplicațiilor de înregistrare a tastelor Keylogger-urile sunt periculoase și pentru a rămâne protejat trebuie să păstrați întotdeauna software-ul actualizat, să utilizați tastaturile de pe ecran și să urmați toate...

AutoHotKey

AutoHotkey este un limbaj de scriptare personalizat gratuit , open-source pentru Microsoft Windows, destinat inițial să ofere scurtături sau taste rapide de la tastatură ușoare, creare rapidă de macrocomandă și automatizare software care permite utilizatorilor de cele mai multe niveluri de cunoștințe de calculator să automatizeze sarcini repetitive în orice aplicație Windows. Din Wikipedia, enciclopedia liberă.

Formulare Google

Google Forms este una dintre aplicațiile care formează suita de aplicații de birou online a Google. Este folosit pentru a crea un sondaj sau chestionar care este apoi trimis grupului dorit de persoane, iar răspunsurile acestora sunt înregistrate într-o singură foaie de calcul în scopuri analitice.

Kaspersky

Kaspersky este o marcă comercială antivirus binecunoscută din Rusia, care a dezvoltat antivirus, securitate pe internet, gestionare a parolelor, securitate a punctelor terminale și alte produse și servicii de securitate cibernetică.

Acolo, așa cum se spune uneori „Prea multe lucruri bune pot face un mare lucru rău”.

Rețetă Fauxpersky

Fauxpersky a fost dezvoltat folosind instrumente AutoHotKey (AHK) care citesc toate textele introduse de utilizator din Windows și trimit apăsările de taste către alte aplicații. Metoda folosită de keylogger AHK este destul de simplă; se răspândește prin tehnica de auto-replicare. Odată executat pe sistem, inițiază stocarea tuturor informațiilor tastate de utilizator într-un fișier text care poartă numele ferestrei respective. Funcționează sub o mască a Kaspersky Internet Security și trimite toate informațiile înregistrate de la apăsarea tastei către un hacker prin Google Forms. Metoda de extragere a datelor este neobișnuită: atacatorii le adună din sistemele infectate folosind formulare Google fără a crea niciun dubiu în cadrul soluțiilor de securitate care analizează traficul, deoarece conexiunile criptate cu docs.google.com nu par suspecte. Odată ce lista de apăsări de taste a fost trimisă, este șters de pe hard disk pentru a preveni detectarea. Cu toate acestea, odată ce sistemul este infectat, malware-ul este pornit din nou după ce computerul este repornit. De asemenea, creează o comandă rapidă pentru sine în directorul de pornire al meniului Start.

Fauxpersky: Modus Operandi

Procesul de infecție inițială nu este încă determinat, dar după ce malware-ul compromite un sistem, scanează toate unitățile amovibile atașate la computer și se replic în ele. Acesta creează un folder în %APPDATA% cu numele „ Kaspersky Internet Security 2017 ” cu șase fișiere, dintre care patru sunt executabile și au același nume ca fișierul de sistem Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe și Taskhosts.exe. Celelalte două fișiere sunt un fișier imagine cu sigla Kaspersky antivirus și un alt fișier care este un fișier text cu numele „readme.txt”. Cele patru fișiere executabile îndeplinesc diferite funcții:

• Explorers.exe – se răspândește de la mașinile gazdă la unitățile externe conectate prin duplicarea fișierelor.
• Spoolsvc.exe – Modifică valorile de registry ale sistemului, ceea ce, la rândul său, împiedică utilizatorul să vizualizeze toate fișierele ascunse și de sistem.
• Svhost.exe- folosește funcțiile AHK pentru a monitoriza fereastra activă în prezent și pentru a înregistra orice apăsare de taste introduse în acea fereastră.
• Taskhosts.exe – este folosit pentru încărcarea finală a datelor.

Toate datele înregistrate în fișierul text vor fi trimise în cutia poștală a atacatorului prin formulare Google și vor fi șterse din sistem. În plus, datele transmise prin Google Forms au fost deja criptate, ceea ce face ca încărcările de date ale Fauxpersky să pară nesuspecte în diferite soluții de monitorizare a traficului.

Compania de securitate cibernetică „Cybereason” este creditată cu descoperirea acestui malware și deși nu indică câte computere au fost infectate, dar având în vedere că inteligența lui Fauxpersky este răspândită prin metoda de modă veche de partajare a unităților USB. Odată ce Google a fost notificat, acesta a răspuns imediat prin eliminarea formularului de pe serverele sale în decurs de o oră.

Îndepărtarea

Dacă simțiți că și computerul dvs. este infectat, pur și simplu accesați folderul „AppData” și introduceți folderul „Roaming” și ștergeți fișierele legate de Kaspersky Internet Security 2017 și directorul însuși din directorul de pornire aflat în meniul de pornire. De asemenea, este recomandabil să modificați parolele serviciilor, pentru a evita utilizarea neautorizată a conturilor.

Chiar și cu cel mai recent program antimalware, banii se pot cumpăra, ar fi greșit să credem că informațiile noastre personale stocate pe computerele noastre sunt în siguranță, deoarece malware-urile sunt create frecvent de activiști de inginerie socială din întreaga lume. Dezvoltatorii antimalware pot continua să actualizeze definițiile de malware, dar nu este întotdeauna posibil 100% să detectăm software-ul anormal creat de mințile strălucitoare care s-au rătăcit. Cea mai bună modalitate de a preveni o infiltrare este să vizitați numai site-uri web de încredere și să acordați atenție deosebită atunci când utilizați unități externe.